StateRAMP – Usługi autoryzacji GovRAMP i audytu 3PAO | Szybka ścieżka zgodności dla dostawców usług chmurowych. Zadzwoń już dziś pod numer +1 (888) 896-7580.

StanRAMP, działając jako Rządowy RAMP Od czasu rebrandingu w lutym 2025 r. jest organizacją non-profit 501(c)(6), utworzoną w 2021 r. w celu standaryzacji i usprawnienia oceny cyberbezpieczeństwa, autoryzacji i ciągłego monitorowania ofert usług w chmurze (CSO) dla władz stanowych, lokalnych, plemiennych i edukacyjnych (SLED) w Stanach Zjednoczonych. Wzorowana na federalnym FedRAMP Program zaspokaja wyjątkowe potrzeby władz lokalnych, zapewniając ramy „weryfikacji raz, obsługi wielu”, które ograniczają powielanie ocen bezpieczeństwa, obniżają koszty dla dostawców usług w chmurze (CSP) i umożliwiają szybsze, bezpieczniejsze wdrażanie rozwiązań w chmurze przez podmioty sektora publicznego przetwarzające poufne dane, takie jak dane osobowe, zapisy finansowe i informacje o krytycznej infrastrukturze.

Program promuje najlepsze praktyki w zakresie cyberbezpieczeństwa poprzez opracowywanie polityk, edukację i współpracę między rządami, dostawcami usług komunikacyjnych i zewnętrznymi organizacjami oceniającymi (3PAO). To jest nie jest powiązany z ani nie jest popierany przez FedRAMP lub rząd federalny USA, ale jest ściśle zgodny z normami federalnymi, takimi jak NIST SP 800-53 Rev. 5, aby zapewnić interoperacyjność tam, gdzie to możliwe. Od grudnia 2025 r. program GovRAMP zyskał na popularności, a ponad 23 stany wprowadziły lub uznały go.

Cel

  • Dla Rządów:Uproszcza procedury zamówień, oferując wiarygodne, wielokrotnego użytku potwierdzenie stanu zabezpieczeń CSP, redukując „rozrost danych” i zagrożenia cybernetyczne, a jednocześnie spełniając zróżnicowane standardy obowiązujące w poszczególnych stanach.
  • Dla dostawców usług komunikacyjnych:Zapewnia przenoszalne poświadczenia zgodności, minimalizując czas, koszty i złożoność konieczności spełnienia fragmentarycznych wymagań SLED.
  • Ogólnie:Zwiększa cyberodporność sektora publicznego w obliczu rosnących zagrożeń, wspierając zaufanie między dostawcami z sektora prywatnego a podmiotami rządowymi.

Program StateRAMP powstał w 2021 r. jako odpowiedź na federalne FedRAMP Sukces programu został osiągnięty dzięki dostosowaniu jego modelu do środowisk SLED, w których agencjom brakowało zasobów na przeprowadzenie pełnych, niezależnych ocen. Początkowo koncentrował się na standaryzacji na poziomie stanowym, a następnie rozszerzył swój zasięg na instytucje plemienne i edukacyjne. Zmiana nazwy na GovRAMP w 2025 roku odzwierciedla szerszą misję programu, obejmującą nie tylko stany, ale także sektory lokalne, plemienne i szkolnictwa wyższego – bez nakładania się na federalny GovRAMP (odrębny federalny program o dużym wpływie).

Poziomy autoryzacji

GovRAMP definiuje cztery podstawowe poziomy wpływu na podstawie normy NIST FIPS 199 (Niski: ograniczony negatywny wpływ; Umiarkowany: poważny; Wysoki: poważny/katastrofalny) z kontrolami z NIST SP 800-53 Rev. 5 oraz nakładkami specyficznymi dla GovRAMP. Autoryzacje skutkują statusami takimi jak: Gotowy (poświadczone samodzielnie lub w formie audytu lekkiego), Tymczasowy (ekwiwalent P-ATO) lub Upoważniony (pełne ATO z ciągłym monitoringiem).

Poziom wpływu Kontrole bazowe (w przybliżeniu) Kluczowe przypadki użycia Zakres ponownego wykorzystania
Niski ~125 NIST 800-53 Niskie kontrole Dane publiczne/o niskiej wrażliwości (np. ogólne strony internetowe, portale informacyjne) Podmioty SLED w całym kraju
Niski+ Ulepszony niski (~150 elementów sterujących) Nieco podwyższone dane o niskim ryzyku (np. podstawowe narzędzia administracyjne; unikalne dla GovRAMP) Podmioty SLED w całym kraju
Umiarkowany ~325 NIST 800-53 Umiarkowane sterowanie + nakładki Dane poufne (np. dane osobowe, dokumentacja finansowa/zdrowotna) Podmioty SLED w całym kraju
Wysoki ~421 NIST 800-53 Wysokie sterowanie + nakładki Dane o wysokiej wrażliwości (np. infrastruktura krytyczna, organy ścigania) Podmioty SLED w całym kraju
rdzeń (Wprowadzenie maj 2025) 60 podstawowych umiarkowanych kontroli (mapowanie MITRE ATT&CK) Walidacja na poziomie wejściowym w celu uzyskania pełnej autoryzacji produktów Szeroki dostęp przedautoryzowany dla SLED

Proces ewaluacji

Dostawcy usług komunikacyjnych przechodzą niezależne audyty przeprowadzane przez akredytowane jednostki 3PAO, takie jak Sojusz ŁazarzaŚcieżki obejmują autoryzacje sponsorowane przez agencję lub autoryzacje tymczasowe, po których następuje ciągły monitoring (np. miesięczne skanowanie luk w zabezpieczeniach, kwartalne raporty).

Lazarus Alliance jest akredytowanym operatorem StateRAMP/GovRAMP 3PAO. Uzyskaj autoryzację o 46% szybciej dzięki naszym ocenom gotowości, audytom i platformie Continuum GRC. Zadzwoń pod numer +1 (888) 896-7580.

Harmonogram audytu autoryzacji GovRAMP: czego można się spodziewać po sojuszu Lazarus

GovRAMP (dawniej StateRAMP) to ustandaryzowany system oceny i autoryzacji dostawców usług chmurowych (CSP) do świadczenia bezpiecznych usług chmurowych dla władz stanowych i lokalnych. Jest on ściśle powiązany z FedRAMP, ale koncentruje się na zamówieniach publicznych na poziomie stanowym, umożliwiając szybsze zatwierdzenia poprzez wzajemne autoryzacje. Jako akredytowana organizacja oceny zewnętrznej (3PAO) przez A2LA i Biuro Zarządzania Projektami GovRAMP, Lazarus Alliance specjalizuje się w tego typu audytach, wykorzystując swoją „metodologię ścieżki krytycznej”, proaktywną filozofię oraz narzędzia takie jak platforma Continuum GRC ITAM, aby usprawnić proces. Takie podejście zazwyczaj skraca tradycyjne terminy oceny o 46%, co usprawnia cały proces od rozpoczęcia do autoryzacji do działania (ATO).

Pełny proces autoryzacji GovRAMP obejmuje zazwyczaj 12-18 miesięcy Dla większości dostawców usług komunikacyjnych (CSP), w zależności od złożoności systemu, poziomu bazowego (średniego lub wysokiego) oraz wewnętrznej gotowości. Jednak Lazarus Alliance kładzie nacisk na wczesną analizę luk i gotowość do przyspieszenia tego procesu. Po autoryzacji wymagany jest ciągły monitoring (ConMon), obejmujący comiesięczne skanowanie podatności, raporty kwartalne i coroczne ponowne oceny w celu utrzymania statusu.

Kluczowe fazy i harmonogram

Oto zestawienie typowych etapów współpracy z Lazarus Alliance jako 3PAO. Harmonogramy oparte są na udokumentowanych średnich wartościach z lat 2024-2025 i zakładają ścieżkę ATO sponsorowaną przez agencję (najpopularniejsza ścieżka). Ścieżki autoryzacji tymczasowej mogą być szybsze, ale wymagają przeglądu przez JAB.

Faza OPIS Typowy czas trwania Kluczowe działania Sojuszu Lazarus
1. Decyzja i wybór partnera Oceń, czy GovRAMP odpowiada potrzebom Twojej firmy; wybierz 3PAO i agencję sponsorującą. 1-2 miesięcy Cybervisorzy™ przeprowadzają wstępne konsultacje (kilka dni analizy), aby określić granice systemu, oszacować koszty, harmonogramy i zapotrzebowanie na zasoby. Podpisują umowę i opracowują plan działania.
2. Analiza luk i przegląd zgodności Zidentyfikuj odstępstwa od kontroli NIST 800-53 Rev 5 (dostosowanych do poziomu bazowego GovRAMP). Przejrzyj polityki, procedury i kontrole o wysokiej wartości. 1-2 miesięcy Techniczny przegląd luk w zabezpieczeniach, możliwość zastosowania testów penetracyjnych i status kontroli. Wykorzystaj platformę ITAM do zautomatyzowanego gromadzenia dowodów, aby szybko ustalić punkt odniesienia dla swojej organizacji.
3. Ocena gotowości Symuluje pełny audyt, aby potwierdzić, że mechanizmy kontroli zostały zaprojektowane i wdrożone skutecznie. Tworzy Raport Oceny Gotowości (RAR). 2-3 miesięcy Pełny przegląd kontroli; uwzględnienie POA&M (planów działania i kamieni milowych). Metodologia Lazarusa pozwala skrócić czas, koncentrując się na ścieżkach krytycznych, co zapewnia szybki postęp w formalnym audycie.
4. Pełna ocena 3PAO Niezależna ocena bezpieczeństwa, obejmująca wywiady, testy i przegląd dokumentacji. Generuje raport oceny bezpieczeństwa (SAR) i artefakty pomocnicze (np. SSP – Plan bezpieczeństwa systemu). 3-6 miesięcy Audyty na miejscu/zdalne z całodobowym dostępem ITAM dla efektywnej współpracy. Weryfikacja zgodności w ofertach SaaS, PaaS lub IaaS; obejmuje skanowanie podatności i testy penetracyjne.
5. Przegląd pakietu autoryzacyjnego i ATO Prześlij pakiet do agencji sponsorującej i do GovRAMP Marketplace w celu weryfikacji. Agencja wystawia ATO. 2-3 miesięcy Lazarus wspiera przygotowywanie pakietów i korygowanie błędów. Szybciej dzięki 46% redukcji czasu dzięki proaktywnym narzędziom.
6. Monitorowanie ciągłe (po ATO) Ciągłe przestrzeganie przepisów w celu utrzymania autoryzacji; wymagana coroczna ponowna ocena. Trwające (rozpoczyna się natychmiast) Miesięczne skanowanie, raportowanie kwartalne i roczne audyty za pośrednictwem ITAM. Pomaga w utrzymaniu śladów audytu bez kłopotów w ostatniej chwili.

Czego można się spodziewać podczas procesu

  • Przygotowanie i współpraca: Spodziewaj się dużego zaangażowania ze strony zespołów wewnętrznych (np. IT, bezpieczeństwa, compliance) w gromadzenie dowodów. Rozwiązanie SaaS ITAM firmy Lazarus Alliance automatyzuje wiele z tych czynności, zapewniając przejrzystość w czasie rzeczywistym i redukując pracę ręczną. Spotkania inauguracyjne koncentrują się na uzgodnieniu granic autoryzacji i kontroli o wysokiej wartości.
  • Audyty i testyOceny obejmują przegląd dokumentów, testy kontrolne, wywiady i skanowanie. Proaktywne podejście firmy Lazarus do cyberbezpieczeństwa oznacza, że ​​pracownicy angażują się praktycznie, pomagając w rozwiązywaniu problemów w czasie rzeczywistym, aby uniknąć opóźnień.
  • Wyzwania i łagodzenieTypowe przeszkody to opóźnienia w procesie POA&M lub niekompletne dowody – Lazarus łagodzi je dzięki szablonom, narzędziu A.ITAMBot do automatyzacji oraz doświadczeniu w hybrydowych środowiskach chmurowych. Całkowite koszty i wewnętrzne zapotrzebowanie są z góry określone przez Cybervisors™.
  • WynikiPo uzyskaniu ATO Twoja oferta usług pojawi się w GovRAMP Marketplace, odblokowując kontrakty stanowe. Certyfikaty są ważne przez rok, a stały monitoring gwarantuje ich odnowienie.

Aby uzyskać indywidualną poradę, skontaktuj się z Lazarus Alliance pod numerem +1 (888) 896-7580.

Lazarus Alliance jest akredytowanym operatorem StateRAMP/GovRAMP 3PAO. Uzyskaj autoryzację o 46% szybciej dzięki naszym ocenom gotowości, audytom i platformie Continuum GRC. Zadzwoń pod numer +1 (888) 896-7580.

Najczęściej zadawane pytania

Program StateRAMP jest wzorowany na FedRAMP, ale dostosowany do potrzeb władz stanowych i lokalnych. Chociaż FedRAMP jest obowiązkowy w przypadku kontraktów federalnych, StateRAMP jest coraz częściej wymagany lub preferowany przez stany (np. Teksas, Karolina Północna, Ohio, Kolorado, Illinois). StateRAMP oferuje trzy poziomy wpływu (niski, średni, wysoki) i akceptuje FedRAMP umiarkowany lub wyższy jako zasadę wzajemności.

  • StateRAMP Ready (wstępna ocena)
  • StateRAMP Postęp (w trakcie)
  • StateRAMP autoryzowany – niski
  • StateRAMP autoryzowany – umiarkowany (najczęściej spotykany)
  • Autoryzacja StateRAMP – wysoka. Większość agencji stanowych wymaga co najmniej umiarkowanej autoryzacji dla systemów przetwarzających dane wrażliwe lub osobowe.

    Jako akredytowany dostawca 3PAO, Lazarus Alliance oferuje kompleksowe usługi StateRAMP-GovRAMP dla publicznych, prywatnych, społecznościowych i hybrydowych rozwiązań chmurowych (SaaS, PaaS, IaaS). Usługi te obejmują oceny gotowości, oficjalne audyty 3PAO, przeglądy uzasadnienia biznesowego, analizy luk w zgodności oraz opracowywanie planu działania z udziałem zespołu StateRAMP-GovRAMP Cybervisors™. ITAM firmy Continuum GRC platforma umożliwiająca efektywne zarządzanie zgodnością 24 godziny na dobę, 7 dni w tygodniu, pomagająca operatorom komunikacyjnym szybciej uzyskiwać autoryzacje i zdobywać zlecenia SLED.

    Proces rozpoczyna się od Przeglądu Uzasadnienie Biznesowego (Business Justification Review), który ocenia przydatność, koszty, harmonogramy i wymagane usprawnienia. Następnie, Przegląd Zgodności (Compliance Review), identyfikuje luki, weryfikuje granice i ocenia mechanizmy kontroli. Prowadzi to do Oceny Gotowości (Gotowości) w celu szybkiego przejścia do ATO, a następnie do pełnej Oceny 3PAO w celu uzyskania autoryzacji sponsorowanej przez agencję lub autoryzacji tymczasowej. Ciągły monitoring (np. comiesięczne skany, raporty kwartalne) zapewnia ciągłą zgodność. Metodologia ścieżki krytycznej Lazarus Alliance skraca czas oceny o 46% w porównaniu z tradycyjnymi metodami.

    Platforma StateRAMP zapewnia dostawcom usług komunikacyjnych (CSP) zbywalne uprawnienia, które obniżają koszty i czas zgodności, minimalizując powielanie działań w ramach rozproszonych wymagań SLED. Instytucje rządowe zyskują uproszczone procedury zakupowe, mniejsze ryzyko cybernetyczne oraz możliwość wielokrotnego użytku walidacji bezpieczeństwa dla wrażliwych danych. Ogólnie rzecz biorąc, platforma buduje zaufanie, przyspiesza wdrażanie rozwiązań chmurowych i zwiększa odporność – dzięki proaktywnym narzędziom Lazarus Alliance, które zapobiegają zagrożeniom i unikają unieważnienia certyfikatów lub podwyżek cen.

    Cybervisorzy™ z Lazarus Alliance przeprowadzają bezpłatny wstępny przegląd uzasadnienia biznesowego (Business Justification Review), aby ocenić zgodność Twojej usługi chmurowej z celami StateRAMP. Obejmuje to ocenę kosztów programu, harmonogramów, potrzebnych zasobów wewnętrznych, usprawnień bezpieczeństwa i wszelkich zmian w architekturze. To idealne rozwiązanie dla dostawców usług komunikacyjnych (CSP) ukierunkowanych na rynki SLED przetwarzające dane o niskim lub wysokim wpływie, zwłaszcza jeśli już poszukujesz lub posiadasz takie rozwiązanie. FedRAMP zgodność z zasadą interoperacyjności.

    Skontaktuj się z Lazarus Alliance pod numerem +1 (888) 896-7580, aby umówić się na konsultację lub przegląd uzasadnienia biznesowego. Zespół przeprowadzi Cię przez etapy przygotowania, gotowości i oceny, zapewniając sprawną ścieżkę do uzyskania autoryzacji. Jako zorientowany na partnerów dostawca 3PAO, priorytetowo traktują efektywność kosztową i proaktywną zgodność, aby pomóc Ci szybko uzyskać kontrakty SLED.

    Lazarus Alliance jest akredytowanym operatorem StateRAMP/GovRAMP 3PAO. Uzyskaj autoryzację o 46% szybciej dzięki naszym ocenom gotowości, audytom i platformie Continuum GRC. Zadzwoń pod numer +1 (888) 896-7580.

    Lazarus Alliance, jako podmiot StateRAMP-GovRAMP 3PAO, świadczy usługi audytu, doradztwa i oceny StateRAMP, GovRAMP, FedRAMP, FISMA i NIST dla publicznych, prywatnych, społecznościowych i hybrydowych ofert usług w chmurze, w tym oprogramowania jako usługi (SaaS), platformy jako usługi (PaaS) i infrastruktury jako usługi (IaaS).

    W Lazarus Alliance proaktywność to nie tylko nasz znak rozpoznawczy — to także obietnica, że ​​ochronimy Twoją przyszłość, zanim jeszcze pojawią się zagrożenia. Michała Petersa, Dyrektor generalny i założyciel

    Wykorzystując Ciągłość GRC Maszyna audytu IT, Bezpieczeństwo Trifecta metodologia i Maszyna politycznaSojusz Lazarus zapewnia międzynarodowe standardy, które są uznawane za „Najlepsze praktyki”do opracowywania standardów bezpieczeństwa organizacyjnego i kontroli, które wspierają certyfikację audytów zgodności i oceny w oparciu o Federal Risk and Authorization Management Program.

    Referencje, na które możesz liczyć

    Amerykańskie Stowarzyszenie Akredytacji Laboratoriów (A2LA) Numer akredytowanego certyfikatu ISO/IEC 17020 3822.01

    W każdej jurysdykcji i we wszystkich branżach. Jesteśmy globalnym partnerem w zakresie zgodności, ryzyka, polityki, testowania bezpieczeństwa, audytu finansowego i usług Cybervisor®.

    Porozmawiaj z jednym z naszych ekspertów

    Nasze zespoły Lazarus Alliance Cybervisor™ mają doświadczenie w przeprowadzaniu tysięcy ocen dla organizacji świadczących usługi klientom na całym świecie.

    Jesteśmy tutaj, aby odpowiedzieć na wszelkie Twoje pytania.

    Pobierz broszurę naszej firmy.

    Lazarus Alliance jest akredytowanym operatorem StateRAMP/GovRAMP 3PAO. Uzyskaj autoryzację o 46% szybciej dzięki naszym ocenom gotowości, audytom i platformie Continuum GRC. Zadzwoń pod numer +1 (888) 896-7580.

    Korzyści z autoryzacji StateRAMP

    Dla dostawców usług w chmurze (CSP)

    1. Pojedyncza akredytacja otwiera dziesiątki rynków stanowych i lokalnych: Ponad 23 stany (i wciąż rośnie) wymagają lub zdecydowanie preferują autoryzację StateRAMP w przypadku zamówień na usługi w chmurze. Jedna autoryzacja może spełnić wymagania w Kalifornii, Teksasie, Nowym Jorku, Illinois, Karolinie Północnej, Wirginii i wielu innych stanach – bez konieczności powtarzania pełnych ocen dla każdej jurysdykcji.
    2. Drastyczna redukcja tarcia sprzedażowego i czasu cyklu zakupowego: Produkty z listy StateRAMP znajdują się na publicznej Liście Autoryzowanych Produktów (APL). Agencje SLED mogą ominąć długotrwałe, indywidualne kontrole bezpieczeństwa i wystawiać kontrakty lub ATO w ciągu kilku tygodni, a nie miesięcy lub lat.
    3. Przewaga konkurencyjna w zapytaniach ofertowych (RFP): Wiele zapytań ofertowych przyznaje obecnie dodatkowe punkty za ocenę lub obligatoryjnie wprowadza StateRAMP. Autoryzowani dostawcy regularnie przewyższają nieautoryzowanych konkurentów.
    4. Niższe ogólne koszty zgodności w dłuższej perspektywie: Zasada „Oceń raz, wykorzystaj ponownie wiele razy” eliminuje potrzebę przeprowadzania dziesiątek oddzielnych audytów, kwestionariuszy i niestandardowych pakietów zabezpieczeń dla poszczególnych stanów.
    5. Wykorzystuje istniejące FedRAMP Praca: Jeśli posiadasz już certyfikat FedRAMP Moderate lub High, różnica między nim a certyfikatem StateRAMP Moderate lub High jest stosunkowo niewielka, co pozwala Ci szybko i niedrogo uzyskać drugi certyfikat, który otwiera dostęp do całego rynku SLED.
    6. Zabezpieczenie na przyszłość: Adopcja gwałtownie przyspiesza. Pionierzy zapewniają sobie status preferowanego dostawcy, zanim wymóg ten stanie się nieodzowny (podobnie jak w przypadku FedRAMP w sektorze federalnym).

    Dla agencji stanowych, lokalnych, plemiennych i edukacyjnych (SLED)

    1. Szybsze wdrażanie rozwiązań chmurowych obarczone mniejszym ryzykiem: Zamiast przeprowadzać czasochłonne oceny ryzyka indywidualnego, polegaj na ofertach wstępnie sprawdzonych i stale monitorowanych.
    2. Wyższy poziom bezpieczeństwa przy niższych kosztach: Standaryzowane, zatwierdzone przez niezależne organy kontrole (NIST 800-53 Rev. 5) w połączeniu z ciągłym monitorowaniem zapewniają lepszą ochronę niż ta, którą wiele agencji mogłoby osiągnąć, działając na własną rękę.
    3. Spójność w różnych jurysdykcjach: Umożliwia bezpieczne udostępnianie danych i współpracę między stanami, powiatami, miastami i placówkami edukacyjnymi przy użyciu tych samych zaufanych dostawców.
    4. Spełnia wymogi prawne i audytowe: Spełnia wymogi prawa stanowego, polityki CIO i wymagania audytorów dotyczące udokumentowania należytej staranności podczas korzystania z usług w chmurze.

    Chcemy być Twoim partnerem i audytorem zgodności StateRAMP GovRAMP 3PAO! Aby uzyskać więcej informacji, zadzwoń. +1 (888) 896-7580.